写静态反编译器的方法

最新推荐文章于 2023-12-21 11:19:14 发布
最新推荐文章于 2023-12-21 11:19:14 发布
阅读量1k 收藏 7
点赞数 5
分类专栏: 软件破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kalt01/article/details/50621707
版权
写静态反编译器的方法

用od打开一个exe程序,如下图,可以看到程序的入口点

在地址0040114C处。且第一条指令是68 AC124000 push main.004012AC 。

按几次PageUp键,到最上头,地址为00401000.

且指令为C6914873 dd MSVBM60.CIcd...


按几次PageDown键,或用鼠标移到最下头,

也就是程序最后一行,地址为00401FFF.

且指令为 00 db00

下面运行一个程序。在网上找到的PE文件格式列出程序。

#include <stdio.h>
#include <windows.h>

int main(int argc,char *argv[])
{
	FILE *fp;
	char filename[MAX_PATH];
	
	IMAGE_DOS_HEADER DOS_header;			//DOS头结构
	IMAGE_NT_HEADERS nt_header;				//PE头结构
	IMAGE_SECTION_HEADER *psection_header;	//节表结构指针
	
	printf("请输入文件名:");
	gets(filename);
	fp=fopen(filename,"rb");
	if(fp==NULL)
	{
		printf("\nError:打开文件出错,请重试!\n");
		getchar();
		exit(0);
	}
	system("cls");
	printf("\n当前文件:%s\n\n",filename);
	
	//检查前两个字节是否为MZ
	char ch; 
	ch=fgetc(fp);
	if(ch != 'M')
	{
		printf("\n-->->->该文件不是有效的PE文件!\n");
		exit(0);
	}
	else
	{
		ch=fgetc(fp);
		if(ch != 'Z')
		{
			printf("\n-->->->该文件不是有效的PE文件!\n");
			exit(0);
		}
		else
		{
			printf("\n-->->->该文件通过第一重有效性检验!\n");
		}
	}
	// 判断是否被感染,因为在一般情况下这个位置都应该不变,为0x00
	fseek(fp,0x7f,0);
	ch=fgetc(fp);
	if(ch!=0x00)
	{
		printf("\n-->->->该文件已经被感染!\n");
		fclose(fp);
		exit(0);
	}
	rewind(fp);
	printf("\n------------------文件信息-------------------------\n");
	fread(&DOS_header,sizeof(struct _IMAGE_DOS_HEADER),1,fp);
	printf("\nPE文件头偏移:%8X h\n",DOS_header.e_lfanew);
	
	fseek(fp,DOS_header.e_lfanew,0);
	fread(&nt_header,sizeof(struct _IMAGE_NT_HEADERS),1,fp);
	
	if(nt_header.Signature != 0x00004550)
	{
		printf("\n-->->->该文件没有通过第二重有效性检验!\n");
		fclose(fp);
		exit(0);
	}
	printf("\n-->->->该文件通过第二重有效性检验!\n");
	
	printf("\n包含节的个数:%8X h\n",nt_header.FileHeader.NumberOfSections);
	printf("\n程序入口地址:%8X h\n",nt_header.OptionalHeader.AddressOfEntryPoint);
	printf("\n优先虚拟地址:%8X h\n",nt_header.OptionalHeader.ImageBase);
	printf("\n内存文件映像尺寸:0x%X\n\n\n",nt_header.OptionalHeader.SizeOfImage);
	
	system("pause");
	system("cls");
	printf("\n------------------各节详尽分析-----------------------\n\n\n");
	psection_header = new IMAGE_SECTION_HEADER[nt_header.FileHeader.NumberOfSections];
	fread(psection_header,nt_header.FileHeader.NumberOfSections*sizeof(struct _IMAGE_SECTION_HEADER),1,fp);
	for(int i=0;i<nt_header.FileHeader.NumberOfSections;i++)
	{
		printf("\n第 %d 节的节表名称:%s\n",i+1,psection_header[i].Name);
		printf("\n第 %d 节的文件偏移:%Xh\n",i+1,psection_header[i].PointerToRawData);
		printf("\n第 %d 节的内存偏移:%Xh\n",i+1,psection_header[i].VirtualAddress);
		printf("\n第 %d 节的实际大小:%XH\n",i+1,psection_header[i].Misc.VirtualSize);
		printf("\n第 %d 节对齐后大小:%XH\n",i+1,psection_header[i].SizeOfRawData);
		printf("\n第 %d 节的相关属性:%XH\n\n\n",i+1,psection_header[i].Characteristics);
	}
	
	fclose(fp);
	getchar();
	
	return 0;
}

运行结果为:
当前文件:main.exe
-->->->该文件通过第一重有效性检验!
------------------文件信息-------------------------
PE文件头偏移: B8 h
-->->->该文件通过第二重有效性检验!
包含节的个数: 3 h
程序入口地址: 114C h
优先虚拟地址: 400000 h
内存文件映像尺寸:0x4000
请按任意键继续. . .

------------------各节详尽分析-----------------------
第 1 节的节表名称:.text
第 1 节的文件偏移:1000h
第 1 节的内存偏移:1000h
第 1 节的实际大小:D3CH
第 1 节对齐后大小:1000H
第 1 节的相关属性:60000020H

第 2 节的节表名称:.data
第 2 节的文件偏移:2000h
第 2 节的内存偏移:2000h
第 2 节的实际大小:9E4H
第 2 节对齐后大小:1000H
第 2 节的相关属性:C0000040H

第 3 节的节表名称:.rsrc
第 3 节的文件偏移:3000h
第 3 节的内存偏移:3000h
第 3 节的实际大小:8BCH
第 3 节对齐后大小:1000H
第 3 节的相关属性:40000040H


可以读出 程序入口地址: 114C h
优先虚拟地址: 400000 h

如上图1 4000000h+114ch=4000114ch

是程序入口点。在网上找到.text段为程序段。

如上面 .text段的文件偏移:1000h

用WinHex十六进制编辑器打开这个exe文件。

找到1000h位置,这里C6914873 就是上图2的

最上面的指令。后面39084873是第二条指令。


下面找反编译程序的入口点,在114C处,第一条68 AC124000,

后面第二条指令E8EFFFFF。

结尾的算法为00401FFFFh-00401000h=0FFFh=4096

是原始数据的大小,用exe资源查看软件可以查处。

就不在写出。下面就是机器码到汇编指令的过程,

就不在写了。


kalt01
关注
专栏目录
自己了个反编译的小工具
06-03
很实用的一个反编译命令,可以将整个工程都反编译,具体的操作需要修改下bat文件!
C32Asm-静态反编译工具
04-05
C32asm 是一款非常不错的国产静态反编译工具! C32Asm现具有如下功能:   快速静态反编译PE格式文件(Exe、Dll等)   提供Hex文件编辑功能,功能强大   提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能   提供内存反汇编功能,提供汇编语句直接修改功能,免去OPCode的直接操作的繁琐   提供反编译语句彩色语法功能,方便阅读分析,能方便自定义语法色彩   提供输入表、输出表、参考字符、跳转、调用、PE文件分析结果等显示   提供方便的跳转、调用目标地址的代码显示   提供汇编语句逐字节分析功能,有助于分析花指令等干扰代码
IDA PRO 静态反编译软件
Acunetix的博客
07-15 370
IDA Pro是目前最棒的一个静态反编译软件,是破解者不可缺少的利器!巨酷的反编译软件,破解高手们几乎都喜欢用这个软件。不会用当作经典的收藏软件也不错! IDA Pro 并不自动的解决程序中的问题,IDA Pro 会告诉您指令的可疑之处,并不去解决这些问题。您的工作是通知 IDA 怎样去做。IDA Pro Disassembler and Debugger是一款交互式的,可编程的,可扩展的,多处理器的,Windows或Linux平台主机分析程序。 IDA Pro被公认为最好的花钱可以买到的反汇编利器,ID.
你自己的反编译/混淆器
weixin_34034261的博客
05-24 78
SharpAssembly的作者就是SharpDevelop/SharpZipLib的作者Mike Krueger,真是厉害。SharpAssembly作用是不需要System.Reflection实现:1、程序集动态加载;2、直接访问方法的IL内容;3、共享访问(不用锁定程序集);4、可以用它实现你自己的反编译/混淆器;代码例子就提供了一个小型反编译器 转载于:https://www.cnblo...
反编静态库暂记
Chambord Gao的专栏
03-25 441
1、工具IDA Pro 64位或者32位根据静态库来定 2、virtual table的理解https://www.learncpp.com/cpp-tutorial/125-the-virtual-table/ 3、virtual table配合输出对象内存布局信息的开关方便定位一些虚函数的调用和变量名 属性\配置属性\C/C++\命令行 /d1 repor...
Ghidra反编译器分析引擎文档:Ghidra反编译器分析引擎文档
02-09
本文将深入探讨Ghidra反编译器的分析引擎,以及它在软件分析过程中的作用。 首先,我们要了解Ghidra的反编译器。反编译是将已编译的机器码转换回高级语言的过程,这使得人类可以更容易地理解程序的逻辑。Ghidra的反...
java反编译器.zip
09-30
Java反编译器是开发者和逆向工程人员用于查看Java字节码的工具,它能够将已编译的.class文件转换回源代码形式。在Java编程中,源代码被Java编译器编译成字节码,这是一种平台无关的中间表示,可以在任何支持Java的...
高级java反编译器
03-07
"高级Java反编译器"可能指的是一个专门设计用于此目的的工具,能够处理整个`.jar`或`.war`文件,这些文件是Java应用程序和Web应用程序的打包形式。 首先,我们来了解什么是`.jar`和`.war`文件。`.jar`(Java ...
小软件 智能反编译器V1.3.rar
03-02
1. **静态分析**:首先,反编译器会对目标程序进行静态分析,识别函数、变量、类等编程元素,并构建控制流图(CFG)和数据流图(DFG)。 2. **指令解码**:接下来,反编译器将机器码转换为中间语言,如伪汇编,这...
安卓反编译器
11-05
6. **逆向工程原理**:反编译器通常依赖于静态分析和动态分析。静态分析通过分析APK的二进制文件来获取信息,而动态分析则需要运行应用并监控其行为。 7. **安全风险**:虽然反编译是合法的开发实践,但未经授权的...
国产静态反编译工具c32asm
12-23
C32asm 是一款非常不错的国产静态反编译工具! C32Asm现具有如下功能: 快速静态反编译PE格式文件(Exe、Dll等) 提供Hex文件编辑功能,功能强大 提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能 提供内存反汇编功能,提供汇编语句直接修改功能,免去OPCode的直接操作的繁琐 提供反编译语句彩色语法功能,方便阅读分析,能方便自定义语法色彩 提供输入表、输出表、参考字符、跳转、调用、PE文件分析结果等显示 提供方便的跳转、调用目标地址的代码显示 提供汇编语句逐字节分析功能,有助于分析花指令等干扰代码
一款非常不错的国产静态反编译工具C32Asm现具有如下功能快速静态反编译PE格式文件Exe.rar
05-10
一款非常不错的国产静态反编译工具C32Asm现具有如下功能快速静态反编译PE格式文件
IDA教程-静态反编译
weixin_30851409的博客
09-21 650
手动阀发射点 转载于:https://www.cnblogs.com/Desneo/p/7566047.html
反编译器
那又怎样的博客
07-10 542
转自:https://blog.csdn.net/kongwei521/article/details/54927689
apktool静态调试反编译
最新发布
liulinghuidage的博客
12-21 340
完成后我们在F:\Android\apktools\dex2jar-2.0目录下就会多了个classes-dex2jar.jar文件,这个就是我们需要的jar文件,接下来就是如何查看java代码了,这里笔者借用一个工具jd-gui(下载链接),下载完解压(这里选择window平台),然后用它打开classes-dex2jar.jar就可以了,如果你的apk经过混淆,那么看到的都是a、b之类的。第一步:把你的apk后缀名改为zip,然后解压后,就会发现有个classes.dex,这里面就是java源码了。
静态库的逆向
125096
04-08 6055
得到一个工具的SDK开发包,开发出来的程序必须要有正确的许可证才能正常运行,所以想对SDK里面的lib进行逆向破解。   使用VC命令行的工具 lib.exe  /list TSMDd.lib > TSMDd.txt  //获得静态库里面的.obj dumpbin.exe/ALL TsLib.obj > TsLib.txt   //获得obj里面的结构 dumpbin.exe /disa
linux 反汇编 静态库,如何反汇编.lib静态库?
weixin_42524165的博客
05-14 1007
我在c中编了这个简单的库:library.h:int sum(int a, int b);LIBRARY.C:#include "library.h"int sum(int a, int b) {return a+b;}我用cl.exe(visual studio 2012)使用以下命令编译它:cl /c /EHsc library.cpplib library.obj它将其编译为静态链接.li...
lib静态库逆向分析
whl0071的专栏
06-03 3944
当我们要分析一个lib库里的代码时,首先需要判断这是一个静态库还是一个导入库。库类型判断 lib文件其实是一个压缩文件。我们可以直接使用7z打开lib文件,以查看里面的内容。如果里面的内容是obj文件,表明是静态库。如果里面的内容是dll文件,表明是导入库。导入库里面是不包含代码的,代码包含在对应的dll文件中。从lib中提取obj 静态库是一个或者多个obj文件的打包,这里有两个方法从中提取obj:Microsoft 库管理器 7z解压 Microsoft 库管理器(lib.exe) Microsoft
IDA反汇编/反编译静态分析iOS模拟器程序(二)加载文件与保存数据库
热门推荐
hursing的博客
05-14 1万+
启动windows版的IDA,在Quickstart界面点击New,弹出一个对话框选择文件。也可以按取消后再把文件拖进IDA。由于Mac版的IDA没注册,没有save功能,所以只好先把Mac上的东西拷贝到windows再打开了。 能拖进IDA的文件可以是静态库、动态库、可执行程序等。对ios而言,可执行程序通常是build出来的.app包里的同名文件,当然,也可以是系统自带的程序。库文件主要是S
3.5 W32Dasm反汇编教程:从静态分析到理解程序功能
w32dasm是一款广泛使用的Windows 32位汇编语言反编译器,它可以帮助程序员和安全分析师理解二进制代码的内部工作原理。 在进行反编译之前,文档建议先使用FileInfo、PEiD等工具检查目标文件是否被加壳,因为加壳...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值